En medio de una caída bien documentada en los tiempos de permanencia (el período entre que un actor de amenazas accede a la red de una víctima y ejecuta su ciberataque), los analistas de Sophos han registrado un número creciente de ataques en los que las bandas de ransomware desactivan o borran los registros de telemetría en un intento. para ocultar sus huellas y obstruir el trabajo vital de los equipos de seguridad. Según los episodios que involucraron al equipo de respuesta a incidentes (IR) de Sophos desde el 1 de enero de 2022 al 30 de junio de 2023, la empresa reveló hoy que faltaban registros de telemetría en más del 42% de los casos, y en el 82% de esos casos, los atacantes habían ya sea registros deshabilitados o borrados. Esto claramente oscurece la visibilidad que los defensores tienen en las redes y sistemas de sus organizaciones, lo que los pone aún más a la defensiva dado el tiempo cada vez más limitado que tienen para detectar y responder a una intrusión: se cree que los tiempos de permanencia disminuyeron un 44 % año tras año. año (interanual). “El tiempo es fundamental a la hora de responder a una amenaza activa; el tiempo entre la detección del evento de acceso inicial y la mitigación total de la amenaza debe ser lo más corto posible. Cuanto más avance un atacante en la cadena de ataque, mayor será el dolor de cabeza para los respondedores”, afirmó el director de tecnología (CTO) de campo de Sophos, John Shier. “La falta de telemetría solo agrega tiempo a las soluciones que la mayoría de las organizaciones no pueden permitirse. Por eso es esencial un registro completo y preciso, pero estamos viendo que, con demasiada frecuencia, las organizaciones no tienen los datos que necesitan”. En general, la investigación, que forma parte de una serie en curso de informes Active Adversary de Sophos, encontró que, independientemente del tiempo transcurrido desde la intrusión hasta la ejecución, las bandas de ransomware mostraron una variación notablemente pequeña en sus tácticas, técnicas y procedimientos (TTP), que son generalmente bien practicado y exitoso, lo que sugiere que los defensores no necesitan evolucionar radicalmente sus estrategias defensivas. Sin embargo, dijo Sophos, los grupos de ransomware entienden claramente que las capacidades de detección también han mejorado, lo que significa que necesitan hacer más para escapar de la detección; alterar la telemetría de la víctima es una victoria relativamente fácil para ellos. Por lo tanto, los defensores deben ser conscientes de que, en particular, en ataques de rápido movimiento (con tiempos de permanencia de cinco días o menos), la falta de telemetría puede obstaculizar críticamente su respuesta. “Los ciberdelincuentes sólo innovan cuando deben, y sólo en la medida en que les permitan alcanzar su objetivo. Los atacantes no van a cambiar lo que funciona, incluso si avanzan más rápido desde el acceso a la detección. Esta es una buena noticia para las organizaciones porque no tienen que cambiar radicalmente su estrategia defensiva a medida que los atacantes aceleran sus cronogramas. Las mismas defensas que detectan ataques rápidos se aplicarán a todos los ataques, independientemente de la velocidad. Esto incluye telemetría completa, protecciones sólidas en todo y monitoreo ubicuo”, dijo Shier. “La clave es aumentar la fricción siempre que sea posible; si se dificulta el trabajo de los atacantes, se puede agregar un tiempo valioso para responder, alargando cada etapa de un ataque. “Por ejemplo, en el caso de un ataque de ransomware, si hay más fricción, entonces puedes retrasar el tiempo hasta la exfiltración; La exfiltración a menudo ocurre justo antes de la detección y suele ser la parte más costosa del ataque. “Vimos que esto sucedió en dos incidentes de ransomware Cuba. Una empresa (la Empresa A) implementó un monitoreo continuo con MDR, por lo que pudimos detectar la actividad maliciosa y detener el ataque en cuestión de horas para evitar el robo de datos. “Otra empresa (Empresa B) no tuvo esta fricción; no detectaron el ataque hasta unas semanas después del acceso inicial y después de que Cuba ya había extraído con éxito 75 gigabytes de datos confidenciales. Luego llamaron a nuestro equipo de IR y, un mes después, todavía estaban intentando volver a la normalidad”. La falta de telemetría no siempre se debe a los ciberdelincuentes Dicho esto, Sophos también descubrió que cuando los defensores carecen de telemetría para responder a un incidente, no siempre se debe a las acciones tomadas por un atacante: una cuarta parte de las organizaciones que investigó simplemente nunca tuvieron la adecuada. registro disponible para empezar. Esto se debió a diversas razones, incluida una retención insuficiente, una nueva creación de imágenes del disco o la falta de una configuración adecuada. Shier advirtió que en estos casos, esto no sólo significaba que no había datos disponibles para que los defensores los examinaran, sino que además tenían que perder un tiempo valioso averiguando por qué no había datos disponibles en primer lugar. Shier agregó que desde que Microsoft comenzó a hacer que el registro esté disponible gratuitamente para licencias básicas, la mayoría de las organizaciones realmente no tenían ninguna razón o excusa para no usarlo al máximo cuando se implementó en la empresa, aunque reconoció que esto puede no ser algo que Los equipos de seguridad estarían en condiciones de tomar una decisión. Por lo tanto, es importante que los defensores defiendan sus derechos si no son los líderes de seguridad los que defienden sus argumentos. Finalmente, agregó, como todo tipo de datos, los registros deben tener una copia de seguridad segura para que sean accesibles en caso de que sea necesario un análisis forense. Señaló: “La clásica trinidad confidencialidad-integridad-disponibilidad no suele ser una prioridad para los profesionales, pero vale la pena invocarla aquí para hablar el lenguaje del liderazgo que pondrá en marcha los procesos necesarios”.

Source link